이미지 확대보기
백도어가 설치되어 있으면, NSA를 비롯한 정보기관은 회사 측의 허가를 받지 않고도 그 기기를 경유하는 방대한 양의 정보를 수집할 수 있다. NSA 조치를 지지하는 측은 이 수법을 통해 테러리스트에 대한 통신 감청을 포함해 필수불가결한 정보를 수집할 수 있다고 주장한다.
와이든 의원 측은 암호화된 정보에 대한 비밀 백도어는 국가안보와 국민에게 위협이라고 주장했다. 외국의 해커나 범죄자들이 미국의 국가안보를 해치는 형태로 그것을 이용하게 되는 것은 시간문제라는 것이다.
로이터를 비롯한 언론들에 따르면 NSA는 IT 기기 내 침투를 위한 다양한 시도를 하고 있다. 기업에 백도어를 사도록 유도하는 상업적 계약을 맺는 경우도 있고, 경우에 따라서는 규격을 편리하게 개정하는 경우도 있다.
그러나 보안업체 선구자인 RSA 등을 통해 계약을 체결했다는 사실이 뒤늦게 알려진 기술 기업들은 신용 상실과 함께 고객을 잃을 처지에 놓였다. 또 NSA의 감시를 우려하는 고객들의 불안이 커지면서 해외 거래를 상실한 미국 기업도 있다.
상황이 이렇다 보니 백악관은 정책에 대해 재검토할 수밖에 없었다. 백악관에서 사이버보안 조정관을 지낸 마이클 대니얼은 “오바마 대통령이 구성한 특별위원회에서 정부는 IT 제품의 규격을 왜곡하는 일이 있어서는 안 된다고 권고했다”고 밝혔다.
다만 정보 당국의 특별한 접근을 위해 정부가 은밀히 체결하고 있는 계약에 대해서는 아직 공식 재검토 대상이 되지 않고 있다. NSA는 많은 기업들과 계약을 맺고 협조를 받아왔지만 그 정보는 철저히 지켜지고 있다고 정보 분야를 전문으로 하는 한 변호사는 말했다.
NSA의 기법에 따라다니는 심각한 리스크를 현저하게 나타내는 예가 ‘듀얼 EC(Dual Elliptic Curve)’라 불리는 암호화 시스템 컴포넌트다. NSA는 상무부와 협력해 이 기술을 세계 표준으로서 인정하도록 했지만, 그 후 복수의 암호 연구자에 의해 NSA가 듀얼 EC를 이용해 암호화된 데이터에 접속할 수 있다는 사실이 밝혀졌다.
널리 이용되는 웹 보안 시스템에 듀얼 EC를 삽입하기 위해 RSA가 지난 2013년 1000만 달러의 계약을 체결한 사례도 있다. RSA는 공식적으로는 고의로 정보에 접근하려 한 적은 없다고 했지만 이 회사는 사양길을 걸어 결국 매각됐다.
2년 뒤 쥬니퍼네트웍스 역시 듀얼 EC로 곤욕을 치렀다. 2015년 쥬니퍼는 방화벽 제품에서 악질 코드가 발견됐다고 발표했다. 해커의 정체는 특정하지 않았지만 수사 당국은 배후에 중국 정부가 있다는 결론에 이르렀다고 한다. 그 증거에 대한 자세한 내용은 밝혀지지 않았다.
중국 정부는 이전부터 모든 종류의 해킹 행위에 대한 관여를 부정하고 있다. 중국 외교부는 완전하고 결정적인 증거 없이 밝히는 것은 지극히 무책임한 행위다. 중국은 이 백도어 기술을 개발한 곳이 미국의 정보기관, 즉 미 국가안보국이라는 보도에 주목하고 있다고 말했다.
전직 NSA 간부는 기술 기업 중 상당수는 정부에 은밀히 협력하는 것에 여전히 신중하다고 설명한다. 다만 NSA의 계획은 계속될 것이라고 말한다. 포기해 버리기에는 이 특별한 접속은 너무 매력적이기 때문이라고 했다.
조민성 글로벌이코노믹 기자 mscho@g-enews.com
![[단독] 삼성웰스토리, 베트남서 5억대 세금추징 ‘망신’](https://nimage.g-enews.com/phpwas/restmb_setimgmake.php?w=184&h=118&m=1&simg=20241123122843083909a1f3094311109215171.jpg)
